标准规范下载简介
T/WAPIA 044-2021 信息安全技术 证书管理测试规范.pdfICS35.030 CCS L 80
/WAPIA044202
信息安全技术证书管理测试规范
tion security technology—Test specificationfor certificate management
CBDA 8-2017-T标准下载Informationsecuritytechnology—Testspecificationfor certificate management
中关村无线网络安全产业联盟发布
IWAP1A 044—202
WAPlAlliance
村无线网络安全产业联盟(WAPI产业联盟)版权
IWAP1A 044—202
IWAP1A 044—202
本文件按照GB/个1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中关村无线网络安全产业联盟与工业和信息化部宽带无线IP标准工作组联合提出。 本文件由无线网络安全标准化委员会归口。 本文件起草单位:西安西电捷通无线网络通信股份有限公司、无线网络安全技术国家工程研究中心、 中关村无线网络安全产业联盟、北京数字认证股份有限公司、国家无线电监测中心检测中心、国家信息 技术安全研究中心、中国通用技术研究院、广州广电计量检测股份有限公司、国家密码管理局商用密码 检测中心、中国网络安全审查技术与认证中心、北京计算机技术及应用研究所。 本文件主要起草人:李琴、王月辉、潘琪、张变玲、铁满霞、黄振海、张国强、陶洪波、王宏、张 璐璐、侯鹏亮、布宁、杜志强、颜湘、刘科伟、刘科伟、赵慧、赵晓荣、田玉存、林小飞、周涛、郑骊、 李楠、简练、贾嘉、李国友、刘鸿运、邓开勇、王立华、胡霄亮、尹玉昂、张芝军、于光明、罗鹏、李 玉娇、朱正美。?二
IWAP1A 044—2021
信息安全技术证书管理测试规范
本文件规定了证书管理测试要求及方法,主要包括: a)终端实体测试要求及方法; b)证书颁发实体测试要求及方法。 本文件适用于为了提供证书鉴别服务,按照T/WAPIA038一2019《信息安全技术终端实体证书管理 开发的实体证书管理安全操作的检测。
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。 GB/T1988一1998信息技术信息交换用七位编码字符集 GB/T16262.1一2006信息技术抽象语法记法一(ASN.1)第1部分:基本记法规范 GB/T25069一2010信息安全技术术语 11111C1 GB/T32905一2016信息安全技术SM3密码杂凑算法 业联 明 GB/T32907一2016信息安全技术SM4分组密码算法 13 GB/T32918.2一2016信息安全技术SM2椭圆曲线公钥密码算法第2部分:数字签名算法 GB/T32918.3一2016信息安全技术SM2椭圆曲线公钥密码算法第3部分:密钥交换协议 GB/T32918.5一2016信息安全技术SM2椭圆曲线公钥密码算法第5部分:参数定义 GM/T0042三元对等密码安全协议测试规范 T/WAPIA010.1一2010信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部 分:无线局域网媒体访问控制和物理层规范补篇1:无线局域网网络设备标识规范 T/WAPIA038一2019信息安全技术终端实体证书管理
GB/T25069一2010、T7WAP1A038一2019以及GM/T0042界定的术语和定义适用于本文件。 3.1 证书certificate 关于实体的一种数据,该数据由颁发实体的私钥或秘密密钥签发,并无法伪造。 3.2 证书颁发实体certificateissuingentity 负责产生、签发和管理证书的,受用户信任的权威主体。用户可以选择该主体为其创建特定密钥。 3.3 证书撤销列表certificaterevocationlist 由证书颁发实体签署的一个失效证书列表,它给出了一套证书发布者认为无效的证书。 3.4 证书序列号certificateserialnumber 为每个证书分配的唯一整数值,在证书颁发实体颁发的证书范围内,该值与证书颁发实体所颁发的 证书一一对应。
T/WAPIA 044—2021
T/WAPIA 044—2021
3.5 终端实体endentity 不以签署证书为目的而使用其私钥的一种证书主体。 [来源:GB/T25069—2010,2.2.2.229] 3.6 私有密钥(私钥) privatekey 在某一实体的非对称密钥对中,只应由该实体使用的密钥。私钥定义签名变换、解密变换或者密钥 交换变换等。正常情况下,私钥不应泄露。 3.7 公开密钥(公钥)publickey 在某一实体的非对称密钥对中,能够公开的密钥。 [来源:GB/T25069—2010,2.2.2.43] 3.8 密钥key 一种用于控制密码变换操作(例如加密、解密、密码校验函数计算、签名生成或签名验证)的符号序 列。 [来源:GB/T 25069—2010,2.2.2.106] Alliance 3.9 1 一 密钥交换keyexchange 2 [来源:GB/T25069—2010,2.2.2.119] 1 3.10 签名signature 签名生成过程产生的一个或多个数据元素。用实体的私钥对相关数据进行密钥变换。 [来源:GB/T25069—2010,2.2.2.140]
5.1.1终端实体要求
终端实体支持使用GB/T16262.1一2006规定的ASN.1抽象语法记法对证书管理信息属性进行定义。 对终端实体的要求,还包括5.2、5.3、5.4对应的相关规定,对终端实体测试应包括第6 量 所有的测试项目。
5.1.2证书颁发实体要求
5.2密码算法实现的正确性要求
证书管理所使用的密码算法应符合T/WAPIA038一2019及国家密码管理主管部门相关要求,密码算 法的实现应满足:^V 1OSCP a)证书管理所使用的对称密码算法,其运算结果应与GB/T32907一2016国家密码相关标准中所 规定的对应算法运算要求一致,包括加密、解密等; 1 平 日E b) 证书管理所使用的非对称密码算法,其运算结果应与GB/T32918.2一2016、GB/T32918.3 2016、GB/T32918.5一2016国家密码相关标准系列中所规定的对应算法运算要求一致,包括 加密、解密、密钥交换、签名和验签等; c)证书管理所使用的杂凑算法,其运算结果应与GB/T32905一2016国家密码相关标准中所规定 的对应算法运算要求一致; d)证书管理所使用的密码算法性能应满足产品应用的特定场景需求和国家密码管理相关规定
5.4证书管理协议符合性和互操作性要求
5.4.1证书管理信息属性要求
证书管理信息属性应符合GB/T16262.1一2006中对ASN.1抽象语法记法的相关规定;证书管理信息 属性涉及到的密码算法0ID应符合T/WAPIA038一2019附录C的相关规定;类型及数据应符合T/WAPIA038 2019表1的相关规定。 证书管理信息属性应包含证书请求、加密证书请求、密钥交换证书请求、证书更新、加密证书更新、 密钥交换证书更新、证书恢复、加密证书恢复、证书撤销、加密证书撤销、密钥交换证书撤销、证书状 态查询、其它终端实体的证书获取、证书撤销列表获取、证书状态响应、证书响应、证书验证请求、证 书验证响应、状态码和解除连接。各个证书管理信息属性数据结构应符合T/WAPIA038一2019要求。
5.4.2证书管理协议交互要求
T/WAPIA 044—2021
证书管理协议交互发生在终端实体和证书颁发实体之间。终端实体根据需求向证书颁发实体发送证 书管理请求消息,证书颁发实体在进行检查校验后,回应证书管理响应消息。 对于加密证书或者密钥交换证书的管理(如加密证书更新、加密证书撤销、密钥交换证书更新、密 钥交换证书撤销等),证书颁发实体根据本地策略决定是否需要验证终端实体的私钥是否是其所有。证 书颁发实体向终端实体发送证书管理验证请求消息,终端实体向证书颁发实体发送证书管理验证响应消 息。终端实体完成证书管理验证后,证书颁发实体发送证书管理响应消息。 终端实体处理证书管理响应消息后发送证书管理确认消息。 证书管理协议交互消息的封装及响应应符合T/WAPIA038一2019的规定。
5.5证书管理协议交互结果确认
终端实体证书管理协议交互结果确认
通过终端实体发出的证书管理确认消息中携带状态码属性的编号与接收到的证书管理响应消息里 的各个属性的编号分别保持一致,或仅有唯一一个状态码属性且其属性编号取值为0来确认终端实体证 书管理协议交互处理结果
通过证书颁发实体发出的证书管理响应消息中携带状态码属性的编号与接收到的证书管理请求消 息里的各个属性的编号分别保持一致,或仅有唯一一个状态码属性且其属性编号取值为0来确认证书颁 发实体证书管理协议交互处理结果。
端实体测试基本连接见图1,测试示例见附录
测试步骤和判定准则见下。 a) 测试步骤:
冬1 终端实体测试基本连接图
TWAP1A 044—202
1)按图1建立测试连接; 2)终端实体获取授权码和终端实体标识; 3) 被测终端实体向证书颁发实体发送请求,申请签名证书; 4)检测控制台监测证书管理协议交互过程; 5)检测控制台确认终端实体收到的证书的信息。 D) 判定准则: 1)测试步骤3)中,检测控制台应能检测到:终端实体发出的证书管理请求消息中携带证书 请求属性,所携带的终端实体请求能力与终端实体配置的终端实体请求能力相同; 2)测试步骤4)中,检测控制台应能检测到完整的证书管理协议过程; 3) )测试步骤5)中,检测控制台依照5.5.1确认终端实体收到的证书的信息,
6.2.2加密证书请求
测试步骤和判定准则见下。 a) 测试步骤: 1)按图1建立测试连接; 2)终端实体获取授权码和终端实体标识: 3)被测终端实体向证书颁发实体发送请求,申请加密证书; 4)检测控制台监测证书管理协议交互过程; b) 判定准则: 一 ? 元3V 日日 1) 测试步骤3)中,检测控制台应能检测到:终端实体发出的证书管理请求消息中携带加密 证书请求属性,包含持有者名称,持有者公钥信息不包括公钥值; 2) 测试步骤4)中,检测控制台应能检测到完整的证书管理协议过程; 3)测试步骤5)中,检测控制台依照5.5.1确认终端实体收到的证书的信息。
测试步骤和判定准则见下。 a) 1 测试步骤: 1)按图1建立测试连接; 2)年 终端实体获取授权码和终端实体标识; 3) 被测终端实体向证书颁发实体发送请求,申请密钥交换证书; 4)林 检测控制台监测证书管理协议交互过程; 5)检测控制台确认终端实体收到的证书的信息。 b 判定准则: 1)测试步骤3)中小区道路工程施工方案,检测控制台应能检测到:终端实体发出的证书管理请求消息中携带密钥 交换证书请求属性,包含的持有者公钥信息不包括公钥值; 2)测试步骤4)中,检测控制台应能检测到完整的证书管理协议过程; 3) )测试步骤5)中,检测控制台依照5.5.1确认终端实体收到的证书的信息。
测试步骤和判定准则见下。 a) 1 测试步骤: 1)按图1建立测试连接; 2)终端实体获取授权码和终端实体标识:
TWAPIA 044—2021
3)被测终端实体向证书颁发实体发送请求,申请证书更新; 4)检测控制台监测证书管理协议交互过程; 5)检测控制台确认终端实体收到的证书的信息。 b) 1 判定准则: 1)测试步骤3)中,检测控制台应能检测到:终端实体发出的证书管理请求消息中携带证书 更新属性,包含证书持有者身份、更新证书的有效期及新的公钥和签名; 2) 测试步骤4)中,检测控制台应能检测到完整的证书管理协议过程; 3)测试步骤5)中,检测控制台依照5.5.1确认终端实体收到的证书的信息。
6.2.5加密证书更新
测试步骤和判定准则见下。 a) 1 测试步骤: 1)按图1建立测试连接; 2)终端实体获取授权码和终端实体标识; 3) 被测终端实体向证书颁发实体发送请求,申请加密证书更新; 4) 检测控制台监测证书管理协议交互过程; 5)检测控制台确认终端实体收到的证书的信息。 ?O D) 1 1ance 1) 测试步骤3)中,检测控制台应能检测到:终端实体发出的证书管理请求消息中携带加密 证书更新属性,包含证书持有者身份、更新证书的有效期,可选包含证书持有者公钥信息: 2)测试步骤4)中,检测控制台应能检测到完整的证书管理协议过程;丘 3)测试步骤5)中,检测控制台依照5.5.1确认终端实体收到的证书的信息。
6.2.6密钥交换证书更新
测试步骤和判定准则见下。 a)测试步骤: 1)按图1建立测试连接; 2)终端实体获取授权码和终端实体标识; 3)被测终端实体向证书颁发实体发送请求,申请密钥交换证书更新; 4)检测控制台监测证书管理协议交互过程; 5)检测控制台确认终端实体收到的证书的信息。 b) 判定准则: 1)测试步骤3)中,检测控制台应能检测到:终端实体发出的证书管理请求消息中携带密钥 交换证书更新属性村组公路施工组织设计,包含证书持有者身份、更新证书的有效期,可选包含证书持有者公钥 信息; 2)测试步骤4)中,检测控制台应能检测到完整的证书管理协议过程: 3)测试步骤5)中,检测控制台依照5.5.1确认终端实体收到的证书的信息。